VCF on VxRail: Substituir o certificado NSX-T Local-Manager no ambiente VCF
Summary:
Este artigo é um guia para substituir o certificado autoassinado do NSX-T Local-Manager em ambientes de federação gerenciados pelo VCF. Certifique-se de que seu sistema permaneça
seguro e em conformidade.
...
Please select a product to check article relevancy
This article applies to This article does not apply to
Nota: Siga este artigo somente para ambientes de federação NSX-T gerenciados pelo VCF!
Informações gerais:
Existem diferentes tipos de certificados NSX-T, conforme descrito abaixo:
Nome do certificado
Objetivo
Substituível
Validade padrão
Gato
Esse é um certificado de API usado para comunicação externa com nós individuais do NSX Manager por meio da interface do usuário ou da API.
Sim
825 dias
mp-cluster
Esse é um certificado de API usado para comunicação externa com o cluster do NSX Manager usando o VIP do cluster, por meio da interface do usuário ou da API.
Sim
825 dias
Gerente local
Este é um certificado de identidade do principal da plataforma para a federação. Se você não estiver usando Federação, esse certificado não será usado.
Sim
825 dias
Para soluções VCF:
O Tomcat e o cluster mp são substituídos por certificados CA assinados pela VMCA a partir do vCenter. Os certificados mp-cluster e Tomcat ainda podem estar lá, mas não estão sendo usados.
NSX-T Manager com VCF:
Tomcat - Nó 1 > não está sendo usado
mp-cluster - VIP > não sendo usado
Substituído durante a instalação pelo seguinte:
CA - Nó 1
CA - VIP
Se você quiser verificar se o certificado está sendo usado, execute a seguinte API na plataforma Postman:
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>
O certificado do gerente local é o certificado de identidade principal usado para se comunicar com outros locais na federação.
Um ambiente de federação do NSX-T contém um cluster ativo e um em espera do Global Manager e um ou mais clusters do Local Manager.
Figura 1: Mostra três locais com clusters ativos e em espera do Global Manager nos locais 1 e 2 com clusters do Local Manager em todos os três locais.
Como determinar o número de clusters do Local Manager:
Para verificar o ambiente e descobrir quantos clusters do Local Manager existem, siga as etapas abaixo e a captura de tela:
From System>Configuration>Location Manager:
Na parte superior do Local Manager, ele mostra em qual cluster você está conectado. Neste exemplo, estamos conectados a um cluster do Local Manager.
No meio da página, ele mostra os clusters do gerenciador global, qual cluster está ativo e qual está em espera.
Outros clusters do gerenciador local são vistos na parte inferior, em locais remotos.
Figura 2: Ambiente de cluster do gerenciador local
Procedimento para substituir certificados autoassinados do gerenciador local:
Faça log-in no NSX Manager no cluster do Local Manager.
Colete um backup do NSX-T antes de continuar. Esse passo é importante!
Sistema>Gerenciamento do ciclo de> vida Backup e restauração>Iniciar backup
Figura 3: Coletar backup do NSX-T.
Verifique os certificados e a data de vencimento.
Clique em System>Settings>Certificates
O exemplo abaixo mostra em vermelho a data de expiração dos certificados do gerenciador local:
Figura 4: Data de expiração dos certificados do Local-Manager
Há um certificado por cluster do Local Manager, independentemente do número de NSX Managers presentes no cluster.
Faça log-in em qualquer NSX Manager no cluster do Local Manager 1.
Gerar uma nova CSR.
Clique em System>Settings>Certificates>CSRs>generate CSR
Figura 5: Gerar uma nova CSR.
Digite o nome comum como local-manager.
Digite o nome como LocalManager.
O resto são detalhes de negócios e locais do usuário (isso pode ser copiado de um certificado antigo que está expirando.)
Clique em Save.
Figura 6: Digite os nomes de CSR e as informações de localidade.
Crie um certificado autoassinado usando a CSR gerada.
Clique na caixa >de seleção New CSRGenerate CSR>Self-Sign Certificate for CSR.
Figura 7: Crie um certificado autoassinado.
Certifique-se de que Service Certificate esteja definido como No e clique em Save.
Retorne à guia Certificates , localize New Certificate e Copy Certificate ID.
Figura 8: Copiar novo ID do certificado
Substitua o certificado de identidade principal do gerente local.
Usuário para instalar a plataforma Postman.
Na guia Authorization , selecione Type>Basic Auth.
Insira os detalhes de login do NSX-T Manager.
Figura 9: Insira os detalhes de login do NSX-T Manager.
Na guia Cabeçalhos, altere "application/xml" para "application/json".
Figura 10: No Postman, altere "application/xml" para "application/json"
Na guia Corpo , selecione o POST API.
Selecione Raw e, em seguida, selecione JSON.
Na caixa ao lado de POST, digite o URLhttps://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation
Nos itens acima, a URL é o IP usado para qualquer NSX Manager em um cluster específico do Local Manager.
Na seção do corpo , digite o texto abaixo em duas linhas, conforme visto na captura de tela:
Figura 11: Digite a URL de qualquer NSX Manager em um cluster específico do gerenciador local.
Clique em Send e certifique-se de ver o resultado 200 OK.
Repita as etapas 1 a 4 em cada cluster 2 e 3 do gerenciador local.
Depois que essas etapas forem concluídas, você terá criado um novo certificado em cada cluster do Local Manager e substituído o certificado de identidade principal em cada cluster do Local Manager.
Agora é hora de excluir os certificados antigos que expiram de cada um dos três clusters do Local Manager.
A saída deve ser semelhante à abaixo. "certificate_id" deve mostrar o ID do certificado recém-criado.
Figura 14: Certificate ID mostra o novo ID de certificado.
Additional Information
Substituindo certificados do gerenciador global:
Para substituir o certificado do Global Manager, siga o mesmo processo, mas altere "LOCAL_MANAGER" para "GLOBAL_MANAGER" e execute o procedimento no cluster do Global Manager.
Outros artigos relacionados:
Consulte estes artigos relacionados da Broadcom VMware para obter mais informações: